病毒名称(中文):Win32.Troj.OnlineGamesT.nf.94208
病毒别名:盗号木马已经多到没办法命名的地步,大部分盗号木马没有详细分析,只用自动分析流程提取了病毒特征
威胁级别:★☆☆☆☆
病毒类型:木马程序
病毒长度:38032
影响系统:Win9x WinNT Win2000WinXP Win2003
病毒行为:
这是一个盗号木马。病毒运行后,释放病毒文件至"NetMeeting"文件夹,修改注册表启动项。病毒通过注入桌面进程,监控网络游戏魔域窗口,并盗取用户帐号、密码、密保等信息,发送给远程盗号者,损害用户利益。
1.复制自身至(木马最重要的特征是伪装,通常会把自身伪装为正常文件,创建的木马程序通常在系统文件夹下)
%programfiles%\NetMeeting\ravmymon.exe
然后释放文件
%programfiles%\NetMeeting\ravmymon.cfg
%programfiles%\NetMeeting\ravmymon.dat
最后使用批处理删除自身
2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runravmymon "%programfiles%\NetMeeting\ravmymon.exe"
3.注入桌面进程,监控网络游戏魔域窗口,盗取用户帐号、密码、密保等信息,并发送至远程服务器
hxxp://www.abcdf.cn/my7570/lin.asp?a=%s&s=%s&u=%s&p=%s&pin=%s&r=%s&l=%d&m=%d&mb=%s
解决方案:
这个木马并不复杂,木马注入了explorer进程,监控游戏客户端盗号。
中毒后,启动到安全模式下病毒也会执行,金山毒霸2008(2007近期也已经更新)的抢先杀毒功能(bootclean),可以一次重启将病毒清除。
通用的防木马原则:
1.木马大多数情况下使用社会工程学欺骗,来入侵电脑,用户应对小心浏览一些看起来不太正规的网站。
2.使用漏洞扫描修复工具防止病毒因为系统漏洞入侵
3.安装杀毒软件,并保持监控有效。
病毒别名:盗号木马已经多到没办法命名的地步,大部分盗号木马没有详细分析,只用自动分析流程提取了病毒特征
威胁级别:★☆☆☆☆
病毒类型:木马程序
病毒长度:38032
影响系统:Win9x WinNT Win2000WinXP Win2003
病毒行为:
这是一个盗号木马。病毒运行后,释放病毒文件至"NetMeeting"文件夹,修改注册表启动项。病毒通过注入桌面进程,监控网络游戏魔域窗口,并盗取用户帐号、密码、密保等信息,发送给远程盗号者,损害用户利益。
1.复制自身至(木马最重要的特征是伪装,通常会把自身伪装为正常文件,创建的木马程序通常在系统文件夹下)
%programfiles%\NetMeeting\ravmymon.exe
然后释放文件
%programfiles%\NetMeeting\ravmymon.cfg
%programfiles%\NetMeeting\ravmymon.dat
最后使用批处理删除自身
2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runravmymon "%programfiles%\NetMeeting\ravmymon.exe"
3.注入桌面进程,监控网络游戏魔域窗口,盗取用户帐号、密码、密保等信息,并发送至远程服务器
hxxp://www.abcdf.cn/my7570/lin.asp?a=%s&s=%s&u=%s&p=%s&pin=%s&r=%s&l=%d&m=%d&mb=%s
解决方案:
这个木马并不复杂,木马注入了explorer进程,监控游戏客户端盗号。
中毒后,启动到安全模式下病毒也会执行,金山毒霸2008(2007近期也已经更新)的抢先杀毒功能(bootclean),可以一次重启将病毒清除。
通用的防木马原则:
1.木马大多数情况下使用社会工程学欺骗,来入侵电脑,用户应对小心浏览一些看起来不太正规的网站。
2.使用漏洞扫描修复工具防止病毒因为系统漏洞入侵
3.安装杀毒软件,并保持监控有效。
